Você instala apps pela App Store. Puxa pacotes do npm. Faz deploy de imagens cloud pelo AWS Marketplace. Todo software que você roda passou pelo crivo de alguém — assinaturas de código, auditorias de permissão, scans de CVE. Você nem pensa nisso porque o sistema funciona. Na maioria das vezes.

Agora seu time precisa fazer deploy de um agente de IA pré-construído — um programa que não fica ali parado esperando cliques, mas age de forma autônoma na sua infraestrutura, manda emails, consulta bancos de dados, toma decisões. Você abre o listing do marketplace e encontra: um logo do fornecedor, um parágrafo de marketing e um botão "Instalar". Só isso.

A Nuvem Agêntica Chegou

O Google Cloud Next 2026 abriu hoje em Las Vegas, e o CEO Thomas Kurian tinha uma palavra para o keynote: "The Agentic Cloud". Tradução: o Google quer agentes em todo lugar, e quer que você faça deploy deles pela vitrine dele. Agent Garden — uma coleção curada de agentes de exemplo com deploy em um clique. Uma seção expandida de AI Agents no Cloud Marketplace com filtros de compatibilidade A2A. O ADK chegou à v1.0 para Python. Receita de cloud: US$ 17,7 bilhões no último trimestre, alta de 48%. Backlog de receita dobrou para US$ 240 bilhões. O Google não está vendendo uma visão — está construindo o shopping e imprimindo os contratos de aluguel.

Mas aqui está o que ninguém mencionou no palco: o processo de revisão do Google Cloud Marketplace verifica completude de integração e modelo de precificação. Não o que o agente realmente faz quando tem suas credenciais na mão e recebe uma instrução ambígua.

Estático vs. Comportamental: O Buraco na Verificação

App stores verificam propriedades estáticas — permissões, assinaturas de código, vulnerabilidades conhecidas (CVEs — bugs de segurança catalogados publicamente). Isso funciona quando o software espera seu input. Agentes não esperam. Eles raciocinam, planejam e executam. Verificar o que um software é (seguro, assinado, em conformidade) é um problema resolvido. Verificar o que um software faz em condições de execução imprevisíveis — isso é um desafio fundamentalmente diferente.

Como a ReversingLabs observou em 15 de abril: "Embora as ações de um LLM possam ser auditáveis, o raciocínio por trás dessas ações pode ser incognoscível." Isso não é uma distinção filosófica. Significa que scanners de marketplace podem verificar que o código de um agente está limpo enquanto permanecem estruturalmente incapazes de prever seu comportamento em tempo de execução.

O Estrago Já Está Documentado

Isso não é teoria. No final de janeiro, o ataque ClawHavoc demonstrou exatamente como essa brecha é explorada. Entre 27 de janeiro e 5 de fevereiro, atacantes plantaram 1.184 skills maliciosas no ClawHub — aproximadamente uma em cada cinco pacotes do ecossistema. Uma única conta de autor fez upload de 677 delas. Nove CVEs. As skills herdam todas as permissões do agente que as executa — acesso a dados privados, API keys, tudo. O marketplace não tinha nenhuma verificação comportamental para pegar qualquer uma delas.

A Manifold Security lançou sua plataforma Manifest em 14 de abril para resolver exatamente esse problema — indexando mais de 238.000 skills em registros de agentes com análise de grafos de execução, mapeando o que um agente realmente faz em tempo de execução em vez do que ele declara nos metadados. A Microsoft lançou um Agent Governance Toolkit em 2 de abril com assinatura de plugins Ed25519 e pontuação de confiança dinâmica. São passos significativos. Mas são toolkits de governança e plataformas independentes — não padrões de certificação para todo o marketplace embutidos no botão "Instalar".

Você É o Departamento de QA

Até que exista certificação comportamental escalável — uma forma de verificar o que um agente faz, não apenas o que ele alega — cada agente que você instala de qualquer marketplace é um ator autônomo não auditado rodando sob sua identidade, com suas credenciais, na sua infraestrutura. Agentes first-party do Google ou da Microsoft vêm com a confiança da reputação da marca. Mas a economia dos marketplaces exige listings de terceiros, agentes da comunidade, integrações de nicho. É aí que as app stores vivem ou morrem. E é exatamente aí que ninguém está verificando nada.

Lembra quando você nem pensava na verificação da app store porque o sistema simplesmente funcionava? Para agentes, esse sistema ainda não existe. O fornecedor que construí-lo não vai só ganhar uma feature de produto — vai ser dono da camada de confiança que fica acima de todo runtime de agentes concorrente. Google, Anthropic, OpenAI — todos vão precisar de alguém para responder a pergunta que seus marketplaces atualmente ignoram: o que esse agente realmente faz?